Mensajes de SMS al descubierto en Movistar Colombia
De los problemas de privacidad no se libran ni las grandes. Hoy leemos en Websecuritydev que Movistar, en su servicio de envío por web de mensajes SMS en Colombia, tiene un fallo, de forma que dichos mensajes se almacenan y pueden ser vistos por cualquier persona. El servicio se aloja en Mundomobile y carga mediante iframes varios archivos en el sitio de Movistar. Esta es la aplicación:
El autor de la investigación se dio cuenta de que realmente la aplicación que utilizan está en otro host diferente. Y tras navegar un rato por este, se encontró con que podía acceder a todo el directorio:
Y curioseando, llegó hasta la carpeta de “logs” que contenía todos y cada uno de los mensajes que los usuarios habían enviado utilizando este servicio:
Ahora solo faltaba verificar si realmente eran mensajes recientes o antiguos. Así que el investigador envió un mensaje de prueba:
Y comprobar si realmente se había almacenado. Y efectivamente, así fue:
Resulta evidente que nadie va a utilizar un servicio de envío de mensajes por SMS para intercambiar información confidencial. De hecho, el autor de la investigación menciona que encontró muchos “insultos entre parejas”, pero tratándose de una gran marca como Movistar, debería cuidar más los proveedores de servicios que elige o, si son desarrollos propios, la seguridad de sus servicios.
En fin, un fallo más que afecta a nuestra privacidad y que esperamos que arreglen pronto.
Related Posts
Sobre el Autor
Josep
Director de Investigación y Concienciación de ESET España. Apasionado de la tecnología, los videojuegos y trabajando en el mundo de la seguridad informática desde 2005. Siempre dispuesto a aprender y a compartir conocimientos para concienciar a los usuarios y así disfrutar de la tecnología de forma segura.